病毒名称:
BackDoor.SdBot.ank
类别: 后门病毒
病毒资料:
破坏方法:
一个以IRC为控制平台的后门病毒.
病毒行为:
病毒运行后将自己复制到%system%目录下,文件名为syscont.exe并在注册表
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
及
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
中加入自己的键值,以达到随系统启动而启动的目的.
随后病毒驻留内存实现以下任务。
1.局域网传播
病毒将对局域网系统进行ipc$联接,并尝试使用体内带的字典对其管理员账号进行试探.
病毒体内的密码字典:
chemistry
chemistr
charles
celtics
cayuga
catherine
cardinal
brutefor
brenda
boner
blonde
bigfoot
bicameral
bible
berliner
beethoven
beethove
bassoon
baseball
barber
banana
backdoor
bacchus
anthropogenic
andromache
ama
alpha
alice
Alexander
albatross
alaska
Administrator
ADMINISTRATOR
administrator
Administrateur
Administrador
admin123
accounting
Access
54321
123467890
123456789
...
当病毒成功的建立联接后,将自己复制到以下路径以达到传播的目的.
%目标ip地址%\IPC$\syscont.exe
%目标ip地址%\D$\syscont.exe
%目标ip地址%\print$\syscont.exe
%目标ip地址%\c$\syscont.exe
%目标ip地址%\Admin$\syscont.exe
%目标ip地址%\c$\windows\system32\syscont.exe
%目标ip地址%\c$\winnt\system32\syscont.exe
%目标ip地址%\Admin$\system32\syscont.exe
2.IRC后门
病毒以特定的昵称登录到特定的IRC频道,以便病毒作者对其进行控制.
控制者可以对被控系统进行,文件上传下载,系统信息获取.游戏cdkey查询.
被控系统也将变成一个攻击平台,供操控者对其附近系统进行攻击...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-17